Добрый день.
Серваку попал вирус шифровальчик расширение.srva
Как спасти данные?

(8) а при чем тут РАИД? (Просто друг интересуется...)

(15) аминь

(15) При этом скорей всего бекапы вы делали под одним и тем же пользователем? (все как в прошлые времена, до шифровальщиков) :)

(0) Прекрасный момент начать жизнь с чистого листа

(16) я не админ я разработчик

Админ вешается

(22) Считай в рубашке родился

(22) повезло

Скорее закрывай все текущие задачи, скажи что всё требования были реализованы в зашифрованных базах

(15) Если бекапы были на том же серваке, значит эти данные не очень ценные. Рекомендую отформатировать все диски, и проблема решится.

(26) Зачем? Их же все равно заново придется делать

(0) Если владелец шифровальщика лох, то касперский может восстановить. У одного моего клиента каспер восстановил данные.

Но должны выполняться два условия:
1) Организация должна быть клиентом касперского.
2) Шифрование произошло с использованием ключа, который есть в базе касперского.

(27) так и будут делать

Готично.

(0) посмотрите, может теневые копии остались

(15) Значит бэкапов не было.

Бессонные ночи насмарку(

(29) Если владелец шифровальщика Касперский

https://habrahabr.ru/post/327618/

(33) бекапы тоже зашифровывал. Абсолютно все файлы.

(37) бэкапов не было.

(0) плюс если обновляли базы прямо на серваке из режима предприятия (обработка "Поиск и установка обновлений") - есть небольшой шанс, что остались сохраненные базы во временной папке компьютера

Про этот вирус еще в инете нет, везде поискали

Временные папки, кэши все зашифровано. все типы файлы

https://pikabu.ru/story/protivodeystvie_virusamshifrovalshchikam_5001938

А еще сейчас есть Acronis, хорошая вещь которая помогает сохранить ваши файлы. Не ловит шифровальщиков, а именно защищает файлы от них.

(42) именно защищает файлы от них.
Так там основное - это бэкап .. защиты вроде-б в том и состоит - в резервном копировании на стороннем диске..

Заплатить из ЗП админа еще не предлагали?

(29) Ты в корне неправ, не смущай апчественность

(34) Что еще и все твои труды зашифрованы? гыгыгыгы.

(46) Главное чтобы оплачены были

(44) предлагали

(46) не тока мои.

(48) зато день не скучный. А так вся жизнь пролетит и не заметишь. Тоже 30-ка стукнула?

вот сижу думаю с чего начать дорабатывать КА заново

(51) Я б пива выпил на твоем месте. Маховик пздеца только раскручивается - сегодня точно никаких действий не предпримут - будут назначать крайнего

Одмин кстате и отмазаться может

(45) Я прав, т.к то, что я написал было по факту.

(51) свою работу надо бэкапить самому. Если явного запрета нет. Даже если есть цфник и обработки постараться утаскивать и кому надо постараться объяснить, что данных там нет

напишите вымогателям - получите цену риска, но не факт что после оплаты дадут дешифратор.

(28) Чтобы сроки с нуля пошли :))

(55) это будет уроком

(56) Написали ждем ответа

(54) нет у них списка ключей - они генерятся рандомно.
Дернуть ключ можно только в шифровальщике первого поколения - он на доске лежит. Второго поколения - только если оно криво написано. А третье уже не сохраняет ничо на диске - все в памяти корутится.

(60) Дык Вроде я об этом и написал. Только кратко.

(60) А у четвёртого никакого ключа нет, платишь бабки и идёшь лесом

(62) Это 2а поколение )))

Имхо, если и платить вымогателям - то только если они согласятся и смогут расшифровать какой-нибудь из зашифрованных файлов, который вы им пришлёте для проверки.

(62) Никто вроде не будет за так бабки платить. Обычно закриптованный файл высылают вымогателю, если в ответ пришел оригинал, тогда можно и рискнуть.

Что характерно, шифровальщик - частый гость в корп.почте.
В этот вторник дама-менеджер открыла внешне безобидное письмецо, и - ага.
Странно, что не очень много было подпорчено.
Админ прибежал рано утром, чего до этой поры не бывало николи :)
Заражен комп дамочки, и кое-что на шаре "Обмен" - на сервере.
Не у всех.. Но в некоторых папках был файлик-ссылка на некий ресурс. Видимо, тот самый вымогатель. У меня тоже эти ссылки были, возможно, потому, что я лок.админ на своем компе???.. Не знаю..

Мой комп Всевышний защитил.
А вот у дамочки - весь в заразе.

На диске "Обмен" все мои документы убиты. Более того, заменен владелец, мои права "Только чтение". Рискнул, почитал, в *.dоcx - абракадабра.. Что ожидаемо.

(56) прав 100%. Не будет ключа, оставь надежды всяк.. © :((

(66) "шифровальщик - частый гость в корп.почте. " - Ну не знаю, насколько частый, у нас всего один раз пролез, успел пару компов зашифровать (те, на которых Касперский не обновился), потом админы что-то долго мудрили, и с тех пор ни разу не прорывались (тьфу-тьфу).

(51) Главное нас информируй. Особенно завтра.

(67) Ты речь ведешь об одной организации - твоей.
А организаций-то бездна, и в каждой сидит мариванна, с отсутствием интуиции и критического взгляда на внешний вид письма. У неё забота одна - дом, а остальное - досадная необходимость, потому, если что не так - будет фонтан эмоций..

Года полтора назад кто-то из бушек притащил из дому флешку с оч. и оч. нужным Excel-файликом. Админ пару дней чистил, реорганизовал хард обмена, а вот поди-ж ты, всё равно пролезла зараза.

+70 а USB-входы всем поотключали.

сейчас многие почтовые сервера простотрежут письмо,если в нём код сценария js или vbs
так что гостям очень не рады
мииии

(68) Объязательно

Ну вот пока разговариваю сам собой как здесь.
http://trinixy.ru/151626-beseda-pomoschnikov-alisa-ot-yandeks-drug-s-drugom.html

(75) А тут как бэ уже всё - ни от нас ни от тебя уже ничего не зависит. Информируй нас. Какая будет реакция начальства последствия и тп.

(72) кстати, читать глазками расширение файла уже не панацея.
кулхацкеры дотянулись ручонками до служебного символа разворота написания.
например, было gpj.абырвалг.js, с символом воткнутым в начале станет sj.главрыба.jpg

+(76) а можно и в середину воткнуть, тогда начало имени слева-направо(как обычно) и от символа до конца строки - развернуто.

Вот этот нашел вирус
http://www.spyware-ru.com/virus-shifrovalshhik-kak-udalit-virus-i-vosstanovit-zashifrovannye-fajly/

Подскажите, пожалуйста, как лучше защитьт бэкапы, которые на NASe хранятся? NAS присоеденен к серверу по iSCSI.  А то что - то страшно стало после прочтения этой темы.

(79) в теневую копию

(76) Можно подробнее?

(79) писать в одну папку, а потом перемещать а папку которая ro
(80) писатель

(82) всех моих пользователей, которых посетил шифровальщик, помогли теневые копии

(83) админ сейчас сказал, что сейчас шифровальщики рушат механизм теневых копий перед тем, как зашифровать все данные

(84) Ну это новые, все которые встречались не рушили.

(85) Да всё проще: чтобы порушить что-то серьёзное (кроме файлов, доступных пользователю), шифровальщику нужны админские права. Естественно админ, который допустил подобный косяк, будет валить всё на вирус :)

(85) подхватывать только старые вирусы еще сложнее

(81) http://computer76.ru/2017/01/16/fake-file-extension/

(81) http://www.fileformat.info/info/unicode/char/202e/index.htm

И в именах файлов, отображаемых проводником винды это, черт попери, тоже работает.

(90) А не надо проводником смотреть. А против того же ФАРа уже не канает: http://i91.fastpic.ru/big/2017/1012/55/e3c97dfb4b5abd4d2ed135a15710cd55.jpg

Нужно по старинке писать бэкапы на магнитную ленту. Туда шифровальщик не залезет.

(92) Фар в качестве почтового клиента особо не поиспользуешь.

(94) Ну проводник тоже на почтовый клиент не похож, а в (90) про него речь была. И разве нельзя резать ещё на стадии почтового сервера, чтобы не пользователь глазками выглядывал, а он сам такие письма срубал?

300 баксов

http://rgho.st/8hFSb7bQZ

(96) Всего-то? Соглашайтесь

(98) Кинут же, скорее всего :)

(95) Окно сохранения файла в почтовом клиенте - это считай проводник.

(99) Заодно и проверим)

(100) Я имел ввиду настройку фильтра на почтовом сервере. Ему пофиг, в каком порядке символы ОТОБРАЖАЮТСЯ. И до пользователя такое письмо тупо не дойдёт.

(103) почтари вообще по миме тайпе должны работать

ТС, ситуацию как-то разрулили? Держите нас в курсе!

тестовый фал расшифровали обратно?

неужели уволили вместе с админом

(51) не работай по ночам, начни с этого

Эти шифровальщики неправильно вымогают деньги. Нужно писать так:

Здравствуйте, я борец с вирусописателями Василий Паравозов. Случайно узнал что к вам попал вирус шифровальщик. Прошу вас, не перечисляйте им денег, ну нужно поддерживать мошенников. Лучше давайме вместе их кинем на бабло. Я готов сам расшифровать ваши данные. Моя работа стоит $300.

(22)"я не админ я разработчик"

Вам уже намекнули, что все это из-за Ваших работ по удаленному доступу?
OFF: Атака на Windows 10 по RDP

У нас сегодня полез зашифровывать ванна край собственной персоной.
вовремя заметили и прибили левый процесс

(18) Ляпнуть лишь бы. :)

Добрый вечер

Договорились что они одну конфигурацию базу расшифруют и отправляют к нам обратно, потом мы оплатим за остальное в районе 150 баксов. Так они расшифровали и скинули фотографии конфигурации и базы (Это была демо база) и все типа наша очередь скинуть им денег. Ну так как первую нашу условие не выполнили , значит не видать им денег. Самое главное они очень быстро расшифровали и развернули, и отправили думаем что среди них есть 1С ник (Возможно сидит на этом форуме) + пароли были (взломать то не трудно но все равно).

(114)даже так? и здесь без коварных 1С-ков не обошлось? не своих, так чужих?

Шифровка данных - подрыв государственности.

> (114)
(Возможно сидит на этом форуме)
У вас уже собственное расследование? Это месть Ливингастара должно быть)